一、环境准备

bash
 
# 更新系统

sudo apt update && sudo apt upgrade -y

# 安装 Docker

sudo apt install -y docker.io docker-compose

sudo systemctl enable --now docker

# 配置 Docker 加速器(国内环境)

sudo mkdir -p /etc/docker

sudo tee /etc/docker/daemon.json <<EOF

{

  "registry-mirrors": [

    "https://docker.mirrors.ustc.edu.cn",

    "https://hub-mirror.c.163.com"

  ]

}

EOF

sudo systemctl restart docker

# 创建部署目录

sudo mkdir -p /opt/jumpserver && cd /opt/jumpserver

二、一键部署 JumpServer

bash
 
# 下载官方 Docker-Compose 文件

sudo curl -sSL https://github.com/jumpserver/jumpserver/releases/latest/download/docker-compose.yml -o docker-compose.yml

# 下载环境配置文件模板

sudo curl -sSL https://github.com/jumpserver/installer/releases/latest/download/config-example.txt -o config-example.txt

# 生成配置文件(根据提示修改)

sudo cp config-example.txt .env

sudo nano .env
ini
 
# 关键配置项示例

## 设置强密码!!!

SECRET_KEY=your_strong_secret_key_32_chars

BOOTSTRAP_TOKEN=your_bootstrap_token_16_chars

## 数据库配置

DB_PASSWORD=StrongDBPass123!

## 邮件配置(必填)

EMAIL_HOST=smtp.example.com

EMAIL_PORT=587

EMAIL_HOST_USER=admin@example.com

EMAIL_HOST_PASSWORD=EmailPass123!

EMAIL_FROM=admin@example.com

## 域名配置

DOMAINS=jumpserver.yourdomain.com
bash
 
# 启动 JumpServer

sudo docker-compose up -d

# 查看启动状态

sudo docker-compose ps

预期输出:

text
 
      Name                     Command               State           Ports

--------------------------------------------------------------------------------

jumpserver-core       /opt/startup.sh               Up      0.0.0.0:80->8080/tcp

jumpserver-koko       /opt/entrypoint.sh            Up      5000/tcp, 0.0.0.0:2222->2222/tcp

jumpserver-mariadb    docker-entrypoint.sh mysqld   Up      3306/tcp

jumpserver-redis      docker-entrypoint.sh redis ... Up      6379/tcp

jumpserver-web        /init                         Up      0.0.0.0:443->8443/tcp

三、初始配置与访问

  1. 访问控制台:

    • 浏览器访问:https://<服务器IP> 或 https://jumpserver.yourdomain.com

    • 使用默认管理员账号:admin / admin

  2. 首次登录强制修改密码:

    bash
     
    # 如果忘记修改密码,可通过命令行重置
    
sudo docker exec -it jumpserver-web python /opt/jumpserver/apps/manage.py changepassword admin

  3. 基本配置:

    • 系统设置 → 基本设置 → 配置系统名称和域名

    • 系统设置 → 邮件设置 → 测试邮件发送

    • 系统设置 → 安全设置 → 配置密码策略和MFA

四、数据备份与恢复

1. 自动备份脚本
bash
 
#!/bin/bash

# /opt/jumpserver/backup.sh

BACKUP_DIR="/backup/jumpserver/$(date +%Y%m%d)"

mkdir -p $BACKUP_DIR

# 备份数据库

sudo docker exec jumpserver-mariadb mysqldump -uroot -p"${DB_PASSWORD}" jumpserver > $BACKUP_DIR/jumpserver.sql

# 备份配置文件

sudo cp /opt/jumpserver/{.env,docker-compose.yml} $BACKUP_DIR/

# 备份持久化数据

sudo tar -czf $BACKUP_DIR/volumes.tar.gz \

  /opt/jumpserver/core/data \

  /opt/jumpserver/koko/data \

  /opt/jumpserver/web/data

# 加密压缩

gpg --batch --passphrase "YourBackupPass" --symmetric $BACKUP_DIR/*

# 保留30天备份

find /backup/jumpserver -type d -mtime +30 -exec rm -rf {} \;
2. 设置定时任务
bash
 
sudo crontab -e
cron
 
# 每天凌晨2点备份

0 2 * * * /bin/bash /opt/jumpserver/backup.sh
3. 灾难恢复流程
bash
 
# 1. 恢复数据库

gunzip -c jumpserver.sql.gz | sudo docker exec -i jumpserver-mariadb mysql -uroot -p"${DB_PASSWORD}" jumpserver

# 2. 恢复配置文件

sudo cp /backup/jumpserver/20230101/{.env,docker-compose.yml} /opt/jumpserver/

# 3. 恢复持久化数据

sudo tar -xzf volumes.tar.gz -C /

# 4. 重启服务

sudo docker-compose down && sudo docker-compose up -d

五、扩展功能配置

1. 集成 LDAP/AD 认证

  1. 登录 JumpServer → 系统设置 → 认证设置 → LDAP

  2. 配置参数:

    ini
     
    LDAP服务器:ldap://your-ad-server
    
绑定DN:cn=admin,dc=example,dc=com
    
密码:LDAP_Password
    
用户OU:ou=users,dc=example,dc=com
    
用户过滤器:(objectClass=person)

  3. 启用 "同步用户" 和 "创建用户"

2. 启用 Web Terminal 审计
yaml
 
# 修改 docker-compose.yml

services:

  web:

    environment:

      # 启用会话录像

      ENABLE_LION: "true"

      # 配置录像存储路径

      LION_VIDEO_DIR: "/opt/lion/video"

    volumes:

      - ./lion:/opt/lion
3. 配置短信认证
bash
 
# 安装短信插件

sudo docker exec -it jumpserver-web pip install jumpserver-sms-aliyun

# 重启服务

sudo docker-compose restart web

在控制台:系统设置 → 短信设置 → 配置阿里云短信服务

4. 对接云平台自动同步资产
bash
 
# 创建同步脚本 /opt/jumpserver/sync_assets.sh

#!/bin/bash

# AWS 示例

docker exec jumpserver-web python manage.py sync_instance_from_aws \

  --access-key-id YOUR_AWS_KEY \

  --secret-access-key YOUR_AWS_SECRET \

  --regions us-east-1

设置定时同步:

cron
 
# 每小时同步一次

0 * * * * /opt/jumpserver/sync_assets.sh

六、高可用部署(生产环境)

yaml
 
# docker-compose-ha.yml

version: '3.6'

services:

  core:

    image: jumpserver/core:latest

    deploy:

      replicas: 3

  web:

    image: jumpserver/web:latest

    deploy:

      replicas: 2

  db:

    image: mariadb:10.6

    environment:

      MYSQL_ROOT_PASSWORD: ${DB_PASSWORD}

      MYSQL_DATABASE: jumpserver

    volumes:

      - db-data:/var/lib/mysql

    deploy:

      placement:

        constraints: [node.role == manager]

volumes:

  db-data:

    driver: local

启动命令:

bash
 
sudo docker stack deploy -c docker-compose-ha.yml jumpserver

七、安全加固措施

1. 防火墙配置
bash
 
sudo ufw default deny incoming

sudo ufw allow 22/tcp      # SSH

sudo ufw allow 80/tcp      # HTTP

sudo ufw allow 443/tcp     # HTTPS

sudo ufw allow 2222/tcp    # Koko SSH

sudo ufw enable
2. 安全配置
bash
 
# 修改 SSH 端口(可选)

sudo nano /opt/jumpserver/docker-compose.yml
yaml
 
services:

  koko:

    ports:

      - "22222:2222"  # 改为非常用端口
3. 定期安全扫描
bash
 
# 使用 Trivy 扫描容器漏洞

sudo docker run --rm -v /var/run/docker.sock:/var/run/docker.sock aquasec/trivy:0.18.3 jumpserver/core:latest

八、注意事项

  1. 版本升级:

    bash
     
    # 1. 备份数据
    
# 2. 停止服务
    
sudo docker-compose down
    
# 3. 更新镜像
    
sudo docker-compose pull
    
# 4. 启动服务
    
sudo docker-compose up -d

  2. 性能监控:

    bash
     
    # 安装 cAdvisor
    
sudo docker run \
    
  --volume=/:/rootfs:ro \
    
  --volume=/var/run:/var/run:ro \
    
  --volume=/sys:/sys:ro \
    
  --volume=/var/lib/docker/:/var/lib/docker:ro \
    
  --publish=8080:8080 \
    
  --detach=true \
    
  --name=cadvisor \
    
  google/cadvisor:latest

    访问 http://<服务器IP>:8080 监控容器资源

  3. 证书管理:

    • 使用 Let's Encrypt 自动续期:

      bash
       
      sudo docker run -it --rm --name certbot \
      
  -v "/etc/letsencrypt:/etc/letsencrypt" \
      
  -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
      
  certbot/certbot renew

  4. 常见问题排查:

    bash
     
    # 查看日志
    
sudo docker-compose logs -f core
    
sudo docker-compose logs -f web

# 数据库连接测试
    
sudo docker exec -it jumpserver-mariadb mysql -uroot -p${DB_PASSWORD}

# 重置管理员密码
    
sudo docker exec -it jumpserver-web python manage.py changepassword admin

  5. 合规性要求:

    • 开启所有操作的审计日志

    • 配置会话录像保留180天

    • 启用双因素认证(MFA)

    • 定期审查授权规则

通过以上步骤,您将获得一个安全、可靠的企业级堡垒机系统。建议每月执行以下维护任务:

  1. 安全补丁更新:sudo docker-compose pull

  2. 备份恢复测试

  3. 审计日志审查

  4. 漏洞扫描与修复

  5. 授权策略复核

JumpServer 官方文档:https://docs.jumpserver.org/

Docker 一键安装部署 JumpServer 堡垒机的更多相关文章

  1. 快速部署jumpserver堡垒机

    jumpserver版本:Version 1.4.1-2 (社区版) 主机IP地址:10.0.0.105 准备环境1.安装依赖yum -y install wget sqlite-devel xz g ...

  2. jumpserver堡垒机部署

    初稿(后面我有时间再整理一下,看能不能弄成自动化脚本安装): systemctl stop firewalld #关闭防火墙setenforce 0 #关闭selinuxyum install htt ...

  3. 使用Docker搭建Jumpserver堡垒机

    使用Docker搭建Jumpserver堡垒机 1.环境准备 操作系统:CentOS 7.6.1810 软件源:阿里云镜像 #内核版本(Docker 要求 CentOS 系统的内核版本高于 3.10) ...

  4. jumpserver 堡垒机环境搭建

    jumpserver 堡垒机环境搭建(图文详解) https://blog.csdn.net/my_bai/article/details/62226474   http://docs.jumpser ...

  5. 【转】jumpserver 堡垒机环境搭建(图文详解)

    jumpserver 堡垒机环境搭建(图文详解)   摘要: Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能.基于ssh协议来管理,客户端无需安装ag ...

  6. CentOS7下配置使用JumpServer 堡垒机 (图文教程)

    前面介绍了如何在<CentOS7下搭建JumpServer 堡垒机>,基于这篇文章的环境搭建过程,接着介绍安装后的的功能配置使用. 首次wbe登录,https://ip:80,默认账号密码 ...

  7. centos7部署teleport堡垒机

    Centos7.9部署Teleport堡垒机 简介 Teleport是一款简单易用的开源堡垒机系统,具有小巧.易用的特点,支持 RDP/SSH/SFTP/Telnet 协议的远程连接和审计管理.Tel ...

  8. jumpserver 堡垒机环境搭建(图文详解)

    摘要: Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能.基于ssh协议来管理,客户端无需安装agent. 特点: 完全开源,GPL授权 Python编 ...

  9. jumpserver 堡垒机环境搭建(图文具体解释)

    Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能.基于ssh协议来管理,客户端无需安装agent. 特点: 全然开源,GPL授权 Python编写.容易 ...

  10. 分布式实时日志系统(一)环境搭建之 Jstorm 集群搭建过程/Jstorm集群一键安装部署

    最近公司业务数据量越来越大,以前的基于消息队列的日志系统越来越难以满足目前的业务量,表现为消息积压,日志延迟,日志存储日期过短,所以,我们开始着手要重新设计这块,业界已经有了比较成熟的流程,即基于流式 ...

随机推荐

  1. SQL Server 查看版本信息

    SQL Server 查看版本信息3种方法: 1) 使用命令行查看 [Win + R]键 -> 打开cmd 2) 使用SSMS查看 打开并连接SSMS后查看 3) 通过服务器属性查看 使用SSM ...

  2. VsCode写Markdown使用snippet

      文件->首选项->用户片段   输入markdown   输入代码片段 Ctrl+P,输入settings.json   加入下面个这个选项 "[markdown]" ...

  3. Golang高性能引擎:ZKmall开源商城支撑百万级日活交易流畅运行

    在电商业务高并发.低延迟的严苛场景下,技术栈的选择直接决定系统上限.ZKmall开源商城基于Golang技术生态,以协程级并发.毫秒级响应为核心优势,为百万级日活电商平台提供高性能解决方案.本文从架构 ...

  4. 『Plotly实战指南』--散点图绘制进阶篇

    在数据分析的世界里,散点图是一种极为重要的可视化工具. 它能够直观地展示两个或多个变量之间的关系,帮助我们快速发现数据中的模式.趋势和异常点. 无论是探索变量之间的相关性,还是寻找数据中的潜在规律,散 ...

  5. 开发者专用部署工具PasteSpider的V5正式版发布啦!(202504月版),更新说明一览

    PasteSpider是一款以开发者角度设计的部署工具,支持把你的项目部署到Windows或者Linux服务器,支持5大模式Windows(IIS/Service),Linux(systemd),Do ...

  6. 【踩坑系列】使用Comparator.comparing对中文字符串排序结果不对

    1. 踩坑经历 假设有这样一个业务场景,需要对各个城市的订单量排序,排序规则为: 先根据订单量倒序排列,再根据城市名称正序排列. 示例代码: import lombok.Getter; import ...

  7. python_pyinstall打包exe后文件找不到(路径不对),包括配置文件找不到,excel文件找不到等等

    运行路劲和当前文件真实路径不是一个!! 解决 real_dir = os.path.dirname(os.path.realpath(sys.executable))

  8. ubuntu安装clamav

    直接apt安装 sudo apt-get update sudo apt-get install clamav clamav-daemon clamscan --version 停止服务更新病毒库 为 ...

  9. nndeploy开源推理框架教程来袭,模型推理全流程,轻松上手,一键精通!

    大家好,我们是 nndeploy 开源团队.我们专注于打造一款端到端的模型推理和部署框架 -- nndeploy,旨在为用户提供高效.便捷.灵活且兼容主流框架的模型推理和部署体验. 此次,我们开发了 ...

  10. sql注入与防止sql注入

    数据库中的数据 sql代码 package com.zjw.jdbc2; import java.sql.Connection; import java.sql.DriverManager; impo ...